Tartalomjegyzék
Debian10 AD DC tartományba léptetés
- Szerző: Sallai András
- Copyright © Sallai András, 2019
- Web: http://szit.hu
Bevezetés
A tartományba léptetés megoldható több módon:
- winbind
- sssd
- ldap
Itt most a winbind megoldást fogjuk használni.
Mire jó, ha tartományba léptetünk egy linuxos gépet?
- A linuxos gépről kezelhetjük a tartományt, például a net paranccsal.
- A helyi linuxos kliensen használhatjuk a tartományi felhasználókat és csoportokat.
- A helyi linuxos kliensen tartományi fiókkal azonosíthatja magát a felhasználó.
Terv:
- a beléptetendő gép IP címe: 192.168.10.11
- gép neve: m11
- átjáró: 192.168.10.1
- tartomány: zold.lan
- tartományvezérlő IP címe: 192.168.10.2
- A windowsos tartomány neve: SMB01
- A tartományvezérlő gép neve: edu
- A tartományvezérlő administrator jelszva: Titok12345
Előzetes konfigurálás
Az előzetes konfigurációs nélkül a működés nem garantált.
Gépnév
hostnamectl set-hostname m11
Gépnév és IP címek helyben
nano /etc/hosts
127.0.0.1 localhost 192.168.10.11 m11.zold.lan m11
IP cím
nano /etc/network/interfaces
... allow-hotplug enp0s3 iface enp0s3 inet static address 192.168.10.11/24 gateway 192.168.10.1
Névfeloldás
Feltételezzük, hogy a resolvconf csomag nincs telepítve. Ha telepítve van akkor a /etc/network/interface állományban kell az alábbiakat beállítani.
nano /etc/resolv.conf
domain zold.lan search zold.lan nameserver 192.168.10.2 nameserver 192.168.10.1 nameserver 8.8.8.8
A folytatás előtt nézzük meg, hogy fut-e a dhclient démon. Ha fut, le kell állítani, mert átírhatja a resolv.conf állományt. Ellenőrizzük:
ps ax | grep dhclient
Ha van ilyen folyamat, indítsuk újra a gépet. Az újraindulás után már nem indul el a dhclient. A dhclient akkor futhat, ha a telepített gépen az IP cím DHCP-re volt állítva.
DHCP-vel beállított IP cím
DHCP esetén el kell érnünk, hogy a tartományvezérlő IP címe első helyre kerüljön, és legyen keresés zold.lan névhez képest. Erre akkor van szükségünk, ha DHCP szerveren ez nem megoldható.
Szerkesszük a dhclient.conf állományt:
nano /etc/dhcp/dhclient.conf
Fűzzük az állomány végéhez:
... supersede domain-name "zold.lan"; prepend domain-name-servers 192.168.10.2;
Telepítés
Telepítsük a szükséges csomagokat:
apt install winbind samba-common krb5-config
A telepítéskor megjelenő kérdésre:
[ No ]
Samba beállítás
A Samba démonokat ugyan nem fogunk futtatni, de winbind használja
az /etc/samba/smb.conf
állományt, ezért kellett telepíteni a samba-common
csomagot.
Nevezzük át az eredeti smb.conf állományt:
mv /etc/samba/smb.conf{,.initial}
Hozzuk létre az újat:
nano /etc/samba/smb.conf
Tartalma a következő legyen:
[global] workgroup=SMB01 server role = member server client signing = yes client use spnego = yes realm = ZOLD.LAN security = ads idmap config * : backend = tdb idmap config * : range = 3000-7999 idmap config SMB01 : backend = autoid idmap config SMB01 : range = 10000-999999 kerberos method = secrets and keytab dedicated keytab file = /etc/krb5.keytab
Kerberos beállítása
Nevezzük át az eredeti konfigurációs állományt:
mv /etc/krb5.conf{,.initial}
Hozzunk létre egy újat:
nano /etc/krb5.conf
Tartalma a következő legyen:
[libdefaults] default_realm = ZOLD.LAN dns_lookup_realm = false dns_lookup_kdc = true
Beléptetés tartományba
Beléptetés előtt kérdezzük le a tartományvezérlőt:
# samba-tool domain info 192.168.5.61 Forest : zold.lan Domain : zold.lan Netbios domain : SMB01 DC name : edu.zold.lan DC netbios name : EDU Server site : Default-First-Site-Name Client site : Default-First-Site-Name
Beléptetés:
# net ads join -U administrator%Titok12345 Using short domain name -- SMB01 Joined 'M11' to dns domain 'zold.lan'
Ellenőrzés
net ads info
Függelék
DHCP-re megoldások
Ha DHCP-vel van beállítva az IP cím, gondoskodjunk arról, hogy az
/etc/resolv.conf
állományban a tartományvezérlő IP címe legyen
az első.
Ha a DHCP szerveren erre nincs lehetőségünk, akkor használhatjuk a resolvconf csomagot:
apt install resolvconf
Szerkesszük a konfigurációhoz tartozó head állományt:
nano /etc/resolvconf/resolv.conf.d/head
Írjuk ebbe az állományba a tartománynév címét:
nameserver 192.168.10.2
Indítsuk újra a resolvconf szolgáltatást:
systemctl restart resolvconf
DHCP megoldás másként
A sed paranccsal is beszúrhatunk az /etc/resolv.conf állomány elejére a resolv.conf állományba két sort:
- /etc/network/interfaces
allow-hotplug enp0s3 iface enp0s3 inet dhcp post-up sed -i '1 i\search zold.and' /etc/resolv.conf post-up sed -i '1 i\nameserver 192.168.5.61' /etc/resolv.conf